Вирусы

Gyjeb это вирус-вымогатель, который после шифрование личных данных вымогает деньги у жертв. Этот вирус очень похож на Keq4p Ransomware, поэтому логично предполагать, что они принадлежат к одному семейству вредоносных программ. Как и Keq4p, Gyjeb Ransomware присваивает случайную строку символов вместе со своими собственными .gyjeb расширение. Чтобы проиллюстрировать, файл типа "1.pdf" изменит свой вид на что-то вроде 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb , сбросив свой исходный значок. После того, как все файлы будут изменены таким образом, вирус создает текстовую заметку под названием nTLA_HOW_TO_DECRYPT.txt , которая содержит инструкции по расшифровке. Вы можете подробнее ознакомиться с этой заметкой на скриншоте ниже.

Keq4p это программа-вымогатель, которая шифрует личные данные с помощью криптографических алгоритмов. Эти алгоритмы обеспечивают надежную защиту данных от попыток их расшифровки. Файлы, затрагиваемые программами-вымогателями, обычно представляют собой фотографии, видео, музыку, документы и другие типы данных, которые могут иметь определенную ценность. Большинство шифровальщиков изменяют все затронутые файлы, присваивая им новое расширение. Keq4p делает то же самое, но также добавляет строку из случайно сгенерированных символов. К примеру, такой файл как 1.pdf изменится на что-то вроде 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p . Назначенная строка полностью случайна и не представляет какой-либо смысл. Наряду с визуальными изменениями, Keq4p также заканчивает процесс шифрования путем создания текстового документа zB6F_HOW_TO_DECRYPT.txt, который содержит инструкции по выкупу. Вы можете ознакомиться с его полным содержанием на скриншоте ниже.

гидра это вирус-вымогатель, который делает данные пользователей недоступными за счет тщательного шифрования. Помимо невозможности доступа к данным, пользователи также могут заметить некоторые визуальные изменения. Гидра назначает новую строку символов, содержащую адреса электронной почты киберпреступников, случайно сгенерированный идентификатор, назначаемый каждой жертве, и .ГИДРА расширение в конце. Чтобы проиллюстрировать, файл вроде 1.pdf изменится на [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA и сбросьте исходный значок на пустой. Как только все файлы зашифрованы, вирус предлагает инструкции по выкупу, чтобы помочь жертвам в процессе восстановления. Это можно найти внутри # FILESENCRYPTED.txt текстовая заметка, которая создается после шифрования. Разработчики Hydra говорят, что жертвы могут восстановить свои файлы, написав на прикрепленный адрес электронной почты (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). После этого злоумышленники должны дать дальнейшие инструкции по покупке дешифровки файлов.

Дельта Плюс представляет собой вирус-вымогатель, использующий криптографические алгоритмы для шифрования личных данных. Он присваивает надежные шифры, которые трудно расшифровать без специальных инструментов дешифрования, которыми владеют сами киберпреступники. Чтобы купить эти инструменты, жертв просят отправить эквивалент 6,000 долларов США в биткоинах на крипто-адрес. Стоимость расшифровки также может быть снижена до 3,000 долларов США, если вам удастся произвести оплату в течение первых 72 часов после заражения. Вся эта информация раскрыта в текстовой заметке под названием Помогите восстановить файл Files.txt, который создается сразу после завершения шифрования файлов. Delta Plus добавляет .дельта расширение для всех затронутых файлов. Например, файл типа 1.pdf изменится на 1.pdf.delta и потеряете свой первоначальный значок. После этих изменений пользователи больше не смогут получить доступ к своим файлам, пока не заплатят требуемый выкуп.

Обнаруженный Томасом Мескаускасом, Koxic определен как вирус-вымогатель, который работает путем шифрования данных, хранящихся на ПК. Другими словами, большинство файлов, таких как фотографии, видео, музыка и документы, будут заблокированы вирусом, чтобы пользователи не могли получить к ним доступ. Все зашифрованные файлы также обновляются .KOXIC or .KOXIC_PLCAW расширениям. Это означает, что зашифрованные файлы, по типу 1.pdf изменится на 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Тот же шаблон будет применен к остаточным данным, зашифрованным программой-вымогателем. После завершения работы с шифрованием вирус создает текстовую заметку, в которой объясняются инструкции по выкупу. В этих инструкциях говорится, что жертвы должны связываться с разработчиками через koxic@cock.li or koxic@protonmail.com электронные письма с их личным идентификатором. Этот идентификатор можно найти в записке о выкупе. Если этого не видно, есть вероятность, что какая-то версия Koxic Ransomware, проникшая в вашу систему, все еще находится в стадии разработки и тестирования.

Porn классифицируется как вирус-вымогатель, нацеленный на шифрование личных данных. Такие файлы, как фотографии, документы, музыка и видео будут зашифрованы программой-вымогателем Porn Ransomware. Чтобы отличить зашифрованные файлы от обычных, разработчики присваивают .porn расширение к каждому зашифрованному файлу. К примеру, такой файл, как 1.pdf изменится на 1.pdf.porn и сбросит свой исходный значок. После этого вирус начинает требовать так называемый выкуп за восстановление ваших данных. Эту информацию можно увидеть во всплывающем окне или текстовой заметке под названием RECUPERAR __. Porn.txt. Внутри этой заметки и всплывающего окна злоумышленники отображают количество файлов, которые они расшифровали. Чтобы стереть назначенные шифры, разработчики Porn просят жертв отправить 1 BTC на прикрепленный крипто-адрес, а затем отправить им по электронной почте идентификатор транзакции. К сожалению, не многие жертвы могут позволить себе заплатить цену в 1 BTC (42,000 долларов США).

BlackByte - так называется вирус-шифровальщик, который блокирует доступ к файлам, хранящимся на устройстве. Эти вредоносные программы более известны под названием программы-вымогатели, поскольку они вымогают деньги у жертв за восстановление данных. Несмотря на то, что BlackByte является новым и мало изученным вирусом, уже известно достаточно, чтобы отличить его от других инфекций. Одна из таких особенностей - это .blackbyte расширение, которое добавляется к каждому зашифрованному файлу. К примеру, такой файл, как 1.pdf изменит свое расширение на 1.pdf.blackbyte и сбросит исходный значок. Следующим шагом после шифрования всех доступных данных является создание записки с требованием выкупа. BlackByte генерирует BlackByte_restoremyfiles.hta файл, в котором отображаются сведения о восстановлении. Внутри жертвам предлагается связаться с киберпреступниками по электронной почте. Это действие обязательно для получения дальнейших инструкций по покупке дешифратора файлов. Этот дешифратор уникален и принадлежит только киберпреступникам. Цена выкупа может варьироваться от человека к человеку, достигая сотен долларов. Имейте в виду, что уплата выкупа - это всегда риск потерять деньги впустую. Многие вымогатели, как правило, обманывают своих жертв и не присылают никаких инструментов дешифрования даже после получения запрошенных денег. К сожалению, не существует сторонних дешифраторов, которые могут гарантировать 100% расшифровку файлов BlackByte.

Ranion является семейством вредоносных программ, которое разрабатывает и распространяет вирусы-вымогатели. Самая последняя версия носит название R44s, шифрует данные с помощью надежных криптографических алгоритмов, а затем требует деньги за выкуп. Жертвы могут заметить шифрование данных визуально. Первые версии Ranion Ransomware, обнаруженные в ноябре 2017 г. использовали .ransom расширение. Теперь вирус присваивает расширение .r44s расширение на все скомпрометированные части. Вот краткий пример того, как файлы будут выглядеть после успешного шифрования: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44sи т. д. в зависимости от оригинального имени файла. Сразу после завершения этого процесса R44s создает HTML-файл под названием README_TO_DECRYPT_FILES.html.